Let's Encrypt автоматаар шинэчлэгдэх үү?Оролцогч тэмдэгтийн гэрчилгээг шинэчлэх скриптийг шинэчлэх

хамгийн сүүлд шийдсэнАлдааны мессежийг шифрлэе: AutoSSL асуудал амжилтгүй боллооDNS-ийн асуудлын дараа энэхүү үнэгүй SSL сертификатыг шийдвэрлэх зарим асуудал байна.

CWP хяналтын самбарУг нь Let's Encrypt сертификатын хугацаа дуусахаас өмнө автоматаар шинэчлэгдсэн юм шиг санагдаж байсан ч өчигдөр Let's Encrypt сертификатыг автоматаар сунгасангүй.SEOЗамын хөдөлгөөний ачаалал эрс багассан ч аз болоход шийдлийг зассаны дараа сэргээх боломжтой.

Let's Encrypt гэж юу вэ?

Let's Encrypt бол ашгийн бус Интернэтийн Аюулгүй байдлын Судалгааны Групп (ISRG)-аас олгодог үнэ төлбөргүй, автоматжуулсан, нээлттэй Гэрчилгээний Газар (CA) юм.

Энгийнээр хэлбэл, Let's Encrypt-ээс олгосон гэрчилгээний тусламжтайгаар HTTPS (SSL/TLS)-ийг манай вэб сайтад үнэгүй идэвхжүүлэх боломжтой.

Let's Encrypt үнэгүй гэрчилгээ олгох/сунгуулах нь скриптээр автоматжсан. Let's Encrypt нь гэрчилгээ олгохдоо Certbot клиентийг ашиглахыг албан ёсоор зөвлөж байна.

Дараах нь Let's Encrypt үнэгүй SSL сертификатыг хэрхэн авах тухай заавар юм▼

Let's Encrypt-д хэрхэн өргөдөл гаргах вэ? SSL үнэгүй сертификатыг шифрлэцгээе.

Let's Encrypt-д хэрхэн өргөдөл гаргах вэ?SSL сертификатыг шифрлэцгээе зарчим & суулгах заавар SSL гэж юу вэ?Чен Вэйляны өмнөх нийтлэл "Http ба https хоёрын ялгаа юу вэ? Үүнийг "SSL шифрлэлтийн үйл явцын нарийвчилсан тайлбар"-д дурдсан болно.Цахим худалдааны сайтуудаас бусад нь дээд зэрэглэлийн худалдан авах ёстой ...

Let's Encrypt wildcard сертификат гэж юу вэ?

Оролцогч тэмдэгт гэрчилгээ гарч ирэхээс өмнө Шифрлэцгээе зөвхөн 2 сертификатыг дэмждэг:

1. Нэг домайн гэрчилгээ: Сертификат нь зөвхөн нэг хост агуулна.
2. SAN сертификат: Домэйн нэрийн гэрчилгээ гэж нэрлэгддэг гэрчилгээ нь олон хост агуулж болно (Шифрлэе хязгаар нь 20).

Хувийн хэрэглэгчдийн хувьд хэт олон тооны хост байхгүй тул SAN сертификатыг ашиглахад ямар ч асуудал гарахгүй, харин томоохон компаниудын хувьд зарим асуудал тулгардаг.

1. Маш олон дэд домайнууд байдаг бөгөөд цаг хугацаа өнгөрөхөд шинэ хост ашиглах шаардлагатай байж магадгүй юм.
2. Бүртгэгдсэн олон домэйнууд бас байдаг.

Томоохон аж ахуйн нэгжүүдийн хувьд SAN гэрчилгээ нь хэрэгцээг хангахгүй байж болох бөгөөд бүх хостууд нэг сертификатад агуулагддаг бөгөөд үүнийг Let's Encrypt сертификат (хязгаар 20) хангах боломжгүй юм.

Оролцогч тэмдэгтийн гэрчилгээ нь орлуулагч тэмдэг агуулсан гэрчилгээ юм:

• Жишээ нь *.example.com, *.example.cn,Бүх дэд домайныг автоматаар тохируулахын тулд * ашиглах;
• Томоохон аж ахуйн нэгжүүд мөн тэмдэгт сертификатыг ашиглах боломжтой бөгөөд нэг SSL сертификат нь илүү олон хост байрлуулах боломжтой.

Оролцогч тэмдэгтийн гэрчилгээ болон SAN гэрчилгээний ялгаа

1. Wildcard Certificates - Оролцогч тэмдэгт гэрчилгээ нь өвөрмөц бүрэн эрхтэй домэйн нэрээр олон дэд домайныг хамгаалахад өргөн хэрэглэгддэг.Энэ төрлийн гэрчилгээний давуу тал нь гэрчилгээг удирдахад хялбар болгохоос гадна нэмэлт зардлаа бууруулахад тусалдаг.Энэ нь таны одоогийн болон ирээдүйн дэд домайныг үргэлж хамгаалдаг.
2. SAN сертификатууд - SAN сертификатууд (олон домайн сертификат гэж нэрлэдэг) нь олон домэйныг нэг сертификатаар хамгаалахад ашиглагддаг.Тэдгээр нь бүгдийг дэмждэг гэдгээрээ орлуулагч сертификатаас ялгаатайхязгааргүйдэд домайнууд. SAN нь зөвхөн гэрчилгээнд оруулсан бүрэн эрхтэй домэйн нэрийг дэмждэг. SAN сертификатууд нь гайхалтай, учир нь тэдгээрийг ашигласнаар та 100 гаруй өөр өөр домэйн нэрийг нэг гэрчилгээгээр хамгаалах боломжтой боловч хамгаалалтын хэмжээ нь гэрчилгээ олгосон байгууллагаас хамаарна.

хэрхэн өргөдөл гаргахШифрийг нь хийцгээеWildcard гэрчилгээ?

Оролцогч тэмдэгтийн гэрчилгээг хэрэгжүүлэхийн тулд Let's Encrypt нь ACME протоколын хэрэгжилтийг сайжруулсан бөгөөд зөвхөн v2 протокол нь орлуулалтын гэрчилгээг дэмжих боломжтой.

Өөрөөр хэлбэл, ACME v2-г дэмждэг бол ямар ч үйлчлүүлэгч орлуулалтын гэрчилгээ авах хүсэлт гаргаж болно.

Certbot-Auto татаж авах

wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto
./certbot-auto --version

Wildcard сертификатын скриптийг шифрлэцгээе

git clone https://github.com/ywdblog/certbot-letencrypt-wildcardcertificates-alydns-au
cd certbot-letencrypt-wildcardcertificates-alydns-au
chmod 0777 au.sh

Оролцогч тэмдэгтийн гэрчилгээний хугацаа дуусах хугацааг шинэчлэх скриптийг шифрлэцгээе

Энд байгаа скрипт нь nginx-ээр хөрвүүлэн суулгасан эсвэл Docker-ээр суулгасан сервер, хост прокси эсвэл ачааллыг тэнцвэржүүлэгч хостоор дамжуулан прокси https, SSL сертификатыг автоматаар нөөцөлж, Nginx прокси серверийг дахин эхлүүлнэ.

• Тайлбар: Скрипт нь үнэндээ ашигладаг ./certbot-auto renew

#!/usr/bin/env bash

cmd="$HOME/certbot-auto" 
restartNginxCmd="docker restart ghost_nginx_1"
action="renew"
auth="$HOME/certbot/au.sh php aly add"
cleanup="$HOME/certbot/au.sh php aly clean"
deploy="cp -r /etc/letsencrypt/ /home/pi/dnmp/services/nginx/ssl/ && $restartNginxCmd"

$cmd $action \
--manual \
--preferred-challenges dns \
--deploy-hook \
"$deploy"\
--manual-auth-hook \
"$auth" \
--manual-cleanup-hook \
"$cleanup"

Нэгдэх Crontab, файл засварлах▼

/etc/crontab

#证书有效期<30天才会renew，所以crontab可以配置为1天或1周
0 0 * * * root python -c 'import random; import time; time.sleep(random.random() * 3600)' && /home/pi/crontab.sh

CWP серверийн тохиргоог дахин бүтээх

CWP нь nginx/apache серверийг дахин бүтээх алхмуудыг энд үзүүлэв.

Алхам 1: CWP хяналтын самбарын зүүн талд, WebServer Settings → Select WebServers ▼ дээр дарна уу.

2-р сар:选择 Nginx & Лак & Апачи ▼

3-р сар:Тохиргоог хадгалах, дахин бүтээхийн тулд доод талд байгаа "Тохиргоог хадгалах, дахин бүтээх" товчийг дарна уу.

• Вэбсайтыг шинэчилснээр та SSL сертификатын хүчинтэй байх хугацаа шинэчлэгдсэнийг харах болно.

Өргөтгөсөн унших:

Linux Crontab нь скриптийн даалгаврын командуудыг тогтмол гүйцэтгэж, тохиргооны файлын ашиглалтыг тохируулдаг

Линуксийн суулгасан cron процесс нь хуваарьт даалгавруудыг гүйцэтгэх хэрэгцээг хангахад тусалдаг. Cron болон shell скриптүүдийг ашигласнаар маш нарийн төвөгтэй даалгаваруудыг тогтмол гүйцэтгэхэд ямар ч асуудал гарахгүй.Cron гэж юу вэ?Бидний байнга ашигладаг crontab команд нь cron ta...